Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Azure Key Vault protege chaves de criptografia, certificados (e as chaves privadas associadas aos certificados) e segredos (como cadeias de conexão e senhas) na nuvem. Quando você está armazenando dados confidenciais e comercialmente críticos, você deve tomar medidas para maximizar a segurança dos seus cofres e dos dados armazenados neles.
As recomendações de segurança neste artigo implementam princípios de Confiança Zero: "Verificar explicitamente", "Usar acesso de privilégio mínimo" e "Assumir violação". Para obter diretrizes abrangentes sobre Confiança Zero, consulte o Centro de Diretrizes de Confiança Zero.
Este artigo fornece recomendações de segurança para ajudar a proteger sua implantação do Azure Key Vault.
Segurança específica do serviço
O Azure Key Vault tem considerações de segurança exclusivas relacionadas à arquitetura do cofre e ao uso apropriado do serviço para armazenar materiais criptográficos.
Arquitetura do cofre de chaves
Use um cofre de chaves por aplicativo, região e ambiente: crie cofres de chaves separados para ambientes de desenvolvimento, pré-produção e produção para reduzir o impacto das violações.
Os cofres de chaves definem limites de segurança para segredos armazenados. Agrupar segredos no mesmo cofre aumenta o raio de explosão de um evento de segurança porque os ataques podem ser capazes de acessar segredos através de interesses. Para reduzir o acesso entre as áreas de interesse, considere a quais segredos um aplicativo específico deve ter acesso e separe os cofres de chaves com base nessa delimitação. Separar cofres de chaves por aplicativo é o limite mais comum. Os limites de segurança, no entanto, podem ser mais granulares para aplicativos grandes, por exemplo, por grupo de serviços relacionados.
Use um cofre de chaves por locatário em soluções multilocatários: para soluções SaaS multilocatários, use um cofre de chaves separado para cada locatário para manter o isolamento de dados. Essa é a abordagem recomendada para o isolamento seguro de cargas de trabalho e dados do cliente. Consulte Multilocação e Azure Key Vault.
Armazenamento de Objetos no Key Vault
Não use o Key Vault como um armazenamento de dados para armazenar configurações de cliente ou configurações de serviço: os serviços devem usar o Armazenamento do Azure com criptografia em repouso ou o Gerenciador de configurações do Azure. O armazenamento é mais eficaz para esses cenários.
Não armazene certificados (pertencentes ao cliente ou ao serviço) como segredos: os certificados pertencentes ao serviço devem ser armazenados como certificados do Key Vault e configurados para autorealização. Para obter mais informações, consulte Cofre de Chaves do Azure: Certificados e Entendendo a autorotação no Cofre de Chaves do Azure.
- O conteúdo do cliente (excluindo segredos e certificados) não deve ser armazenado no Key Vault: o Key Vault não é um armazenamento de dados e não foi criado para ser dimensionado como um armazenamento de dados. Em vez disso, use um armazenamento de dados adequado, como o Cosmos DB ou o Armazenamento do Azure. Os clientes têm a opção Traga Sua Própria Chave ( BYOK) para criptografia em repouso. Essa chave pode ser armazenada no Azure Key Vault para criptografar os dados no Armazenamento do Azure.
Segurança de rede
A redução da exposição à rede é essencial para proteger o Azure Key Vault contra acesso não autorizado. Configure restrições de rede com base nos requisitos e no caso de uso da sua organização.
Esses recursos de segurança de rede são listados dos recursos mais restritos aos menos restritos. Escolha a configuração que melhor se adapte ao caso de uso da sua organização.
Desabilite o acesso à rede pública e use somente Pontos de Extremidade Privados: implante o Link Privado do Azure para estabelecer um ponto de acesso privado de uma rede virtual para o Azure Key Vault e evite a exposição à Internet pública. Para obter as etapas de implementação, consulte Integrar o Key Vault ao Link Privado do Azure
- Alguns cenários de cliente exigem serviços confiáveis da Microsoft para ignorar o firewall, nesses casos, o cofre pode precisar ser configurado para permitir Serviços Microsoft Confiáveis. Para obter detalhes completos, consulte Segurança de rede: Firewall do Key Vault habilitado (Somente Serviços Confiáveis).
Habilite o Firewall do Key Vault: limite o acesso a endereços IP estáticos públicos ou suas redes virtuais. Para obter detalhes completos, consulte Segurança de rede do Key Vault: configurações de firewall.
- Alguns cenários de cliente exigem serviços confiáveis da Microsoft para ignorar o firewall, nesses casos, o cofre pode precisar ser configurado para permitir Serviços Microsoft Confiáveis.
Use o Perímetro de Segurança de Rede: defina um limite de isolamento de rede lógica para recursos de PaaS (por exemplo, Azure Key Vault, Armazenamento do Azure e Banco de Dados SQL) que são implantados fora do perímetro de rede virtual da sua organização e/ou endereços IP estáticos públicos. Para obter detalhes completos, confira Segurança de rede: perímetro de segurança de rede)
- "publicNetworkAccess": "SecuredByPerimeter" substitui "Permitir que serviços confiáveis da Microsoft ignorem o firewall", o que significa que alguns cenários que exigem essa confiança não funcionarão.
TLS e HTTPS
O Azure Key Vault dá suporte a versões de protocolo TLS 1.2 e 1.3 para garantir a comunicação segura entre os clientes e o serviço.
- Impor o controle de versão do TLS: o front-end do Key Vault (plano de dados) é um servidor multilocatário em que cofres de chaves de clientes diferentes podem compartilhar o mesmo endereço IP público. Para obter isolamento, cada solicitação HTTP é autenticada e autorizada de forma independente. O protocolo HTTPS permite que os clientes participem da negociação do TLS e os clientes podem impor a versão do TLS para garantir que toda a conexão use o nível correspondente de proteção. Consulte log do Key Vault para obter consultas Kusto de exemplo para monitorar as versões do TLS usadas pelos clientes.
Gerenciamento de identidade e acesso
O Azure Key Vault usa a ID do Microsoft Entra para autenticação. O acesso é controlado por meio de duas interfaces: o plano de controle (para gerenciar o próprio Key Vault) e o plano de dados (para trabalhar com chaves, segredos e certificados). Para obter detalhes sobre o modelo de acesso e os pontos de extremidade, consulte Azure RBAC para operações no plano de dados do Key Vault.
Habilite identidades gerenciadas: use identidades gerenciadas do Azure para todas as conexões de aplicativo e serviço com o Azure Key Vault para eliminar credenciais codificadas. As identidades gerenciadas ajudam a proteger a autenticação, removendo a necessidade de credenciais explícitas. Para obter métodos e cenários de autenticação, consulte a autenticação do Azure Key Vault.
Use o controle de acesso baseado em função: use o Controle de Acesso Baseado em Função (RBAC) do Azure para gerenciar o acesso ao Azure Key Vault. Para obter mais informações, consulte RBAC do Azure para operações do plano de dados do Key Vault.
- Não use políticas de acesso herdada: as políticas de acesso herdada têm vulnerabilidades de segurança conhecidas e não têm suporte para o PIM (Privileged Identity Management) e não devem ser usadas para cargas de trabalho e dados críticos. O RBAC do Azure reduz possíveis riscos de acesso não autorizados do Key Vault. Consulte Controle de acesso baseado em função do Azure (Azure RBAC) versus políticas de acesso (herdado).
Importante
O modelo de permissões RBAC permite atribuições de funções em nível de cofre para acesso persistente e atribuições qualificadas (JIT) para operações privilegiadas. As atribuições de escopo de objeto suportam apenas operações de leitura; operações administrativas, como controle de acesso à rede, monitoramento e gerenciamento de objetos, exigem permissões em nível de cofre. Para isolamento seguro entre as equipes de aplicativos, use um Key Vault por aplicativo.
Atribua funções com privilégios JIT (just-in-time): use o PIM (Privileged Identity Management) do Azure para atribuir funções do RBAC do Azure qualificadas para administradores e operadores do Key Vault. ConsulteVisão geral do Privileged Identity Management (PIM) para obter detalhes.
- Exija aprovações para ativação de função com privilégios: adicione uma camada extra de segurança para impedir o acesso não autorizado, garantindo que pelo menos um aprovador seja necessário para ativar funções JIT. Consulte Definir as configurações de função do Microsoft Entra no Privileged Identity Management.
- Imponha a autenticação multifator para ativação de função: exija que a MFA ative funções JIT para operadores e administradores. Consulte Autenticação multifator do Microsoft Entra.
Habilite Políticas de Acesso Condicional do Microsoft Entra: o Key Vault dá suporte a políticas de Acesso Condicional do Microsoft Entra para aplicar controles de acesso com base em condições como localização do usuário ou dispositivo. Para obter mais informações, consulte Visão Geral sobre o acesso condicional.
Aplique o princípio de privilégio mínimo: limite o número de usuários com funções administrativas e verifique se os usuários recebem apenas as permissões mínimas necessárias para sua função. Consulte Aumente a segurança com o princípio de privilégios mínimos
Proteção de dados
A proteção dos dados armazenados no Azure Key Vault exige a ativação da exclusão reversível, da proteção contra depuração e a implementação da rotação automática de materiais criptográficos.
Ative a exclusão reversível: verifique se a exclusão reversível está habilitada para que os objetos excluídos do Key Vault possam ser recuperados dentro de um período de retenção de 7 a 90 dias. Consulte Visão geral da exclusão temporária do Azure Key Vault.
Ative a proteção contra limpeza: habilite a proteção contra limpeza para proteger contra exclusão acidental ou mal-intencionada de objetos do Key Vault mesmo após a exclusão reversível ser habilitada. Consulte Visão geral da exclusão e limpeza no Azure Key Vault: Proteção contra Limpeza
Implementar a autorotação para ativos criptográficos: configure a rotação automática de chaves, segredos e certificados para minimizar o risco de comprometimento e garantir a conformidade com as políticas de segurança. A rotação regular de materiais criptográficos é uma prática de segurança crítica. Consulte Noções básicas sobre a autorotação no Azure Key Vault, configure a autorotação de chave, configure a autorotação de certificado, automatize a rotação de segredo para recursos com um conjunto de credenciais de autenticação e automatize a rotação de segredo para recursos com dois conjuntos de credenciais de autenticação.
Conformidade e governança
Auditorias regulares de conformidade e políticas de governança garantem que sua implantação do Key Vault adere aos padrões de segurança e aos requisitos organizacionais.
- Use o Azure Policy para impor a configuração: configure o Azure Policy para auditar e impor configurações seguras para o Azure Key Vault e configurar alertas para desvios da política. Consulte Controles de Conformidade Regulatória do Azure Policy para o Azure Key Vault.
Registro de atividades e detecção de ameaças
O registro em log e o monitoramento abrangentes permitem a detecção de atividades suspeitas e a conformidade com os requisitos de auditoria.
Habilite o registro em log de auditoria: o log do Key Vault salva informações sobre as operações executadas no cofre. Para obter detalhes completos, consulte Registrar em log do Key Vault.
Habilite o Microsoft Defender para Key Vault: habilite o Microsoft Defender para Key Vault para monitorar e alertar sobre atividades suspeitas. Para obter detalhes, consulte a introdução ao Microsoft Defender para Key Vault.
Habilite alertas de log para eventos de segurança: configure alertas para serem notificados quando eventos críticos forem registrados, como falhas de acesso ou exclusões secretas. Consulte Monitoramento e alertas para o Azure Key Vault.
Monitore e alerte: integre o Key Vault à Grade de Eventos para receber notificações sobre alterações em chaves, certificados ou segredos. Para obter detalhes, consulteMonitoramento do Key Vault com a Grade de Eventos do Azure.
Backup e recuperação
Os backups regulares garantem a continuidade dos negócios e protegem contra perda de dados contra exclusão acidental ou mal-intencionada.
Habilite o backup nativo para o Azure Key Vault: configure e use o recurso de backup nativo do Azure Key Vault para fazer backup de segredos, chaves e certificados, garantindo a recuperação. Consulte Backup do Azure Key Vault.
Verifique os backups de segredos que não podem ser recriados: faça backup de objetos do Key Vault (como chaves de criptografia) que não podem ser recriados de outras fontes. Consulte Backup do Azure Key Vault.
Teste procedimentos de backup e recuperação: para verificar a eficácia dos processos de backup, teste regularmente a restauração de segredos, chaves e certificados do Key Vault. Consulte Backup do Azure Key Vault.
Artigos de segurança relacionados
Para obter práticas recomendadas de segurança específicas de chaves, segredos e certificados, consulte:
- Proteger suas chaves do Azure Key Vault – práticas recomendadas de segurança específicas da chave, incluindo rotação, proteção HSM e BYOK
- Proteger seus segredos do Azure Key Vault – práticas recomendadas de segurança específicas de segredos, incluindo rotação, cache e monitoramento
- Proteja seus certificados do Azure Key Vault - práticas recomendadas de segurança específicas de certificados, incluindo gerenciamento do ciclo de vida, renovação e integração com a Autoridade Certificadora